Per me, il flusso di credenziali del client è come se il client richiedesse il token di accesso per se stesso, non per conto di qualche utente.
Quindi, perché al cliente piacerebbe limitare il proprio ambito? Qual è il vantaggio degli ambiti nel flusso delle credenziali del client?